Как запустить контейнер Docker в своем namespace окружении?

Question

[DenZel]

Всем привет!
Задался вопросом повысить безопасность своего контейнера.
Решил, что одной из задач для решения поставленной цели служит:
- запуск контейнера в своем окружении пространства имен.
Прошу помощи в реализации. Чтение ман не помогло реализовать на практике запуск служб внутри контейнера не из под root.
Cпасибо

Comments

[Nikita Krasnikov]

Docker-контейнер по дефолту запускается в своем пространстве имен.

Docker использует технологию namespaces для организации изолированных рабочих пространств, которые мы называем контейнерами. Когда мы запускаем контейнер, docker создает набор пространств имен для данного контейнера.

Это создает изолированный уровень, каждый аспект контейнера запущен в своем простанстве имен, и не имеет доступ к внешней системе.

Список некоторых пространств имен, которые использует docker:
pid: для изоляции процесса;
net: для управления сетевыми интерфейсами;
ipc: для управления IPC ресурсами. (ICP: InterProccess Communication);
mnt: для управления точками монтирования;
utc: для изолирования ядра и контроля генерации версий(UTC: Unix timesharing system).

[DenZel]

Все это понятно.нужно запускать не в root пространстве.цель повысить безопасность

Answer 1

[ky0]

Безопасность и докер в одном абзаце? Ну, не знаю...